En bref
La certification CyberFundamentals (CyFun) Basic n'est pas qu'une obligation liée à NIS2. En 2026, c'est devenu un argument commercial concret pour les PME belges : le niveau Basic bloque 82 % des cyberattaques réelles avec seulement 34 mesures, il se met en place en 2 à 4 mois, et il rassure les clients et donneurs d'ordre qui exigent désormais des preuves de sécurité de leurs fournisseurs.
- CyFun est le référentiel officiel du Centre pour la Cybersécurité Belgique (CCB), reconnu comme voie valide vers la conformité NIS2.
- Le niveau Basic comprend 34 mesures et couvre 82 % des attaques les plus courantes selon le CCB.
- La directive NIS2 pousse les grandes entreprises à exiger des preuves de sécurité de toute leur chaîne de fournisseurs — y compris les PME hors périmètre.
- Un label CyFun ne vaut pas automatiquement conformité NIS2 complète : les procédures de notification d'incident restent à couvrir séparément.
- Échéance clé : les entités NIS2 devaient transmettre leur auto-évaluation CyFun au CCB pour le 18 avril 2026.
Qu'est-ce que CyFun (CyberFundamentals) ?
CyFun est le référentiel de cybersécurité officiel de la Belgique, développé par le Centre pour la Cybersécurité Belgique (CCB). Il traduit les grands standards internationaux — NIST Cybersecurity Framework, ISO 27001/27002, CIS Controls et IEC 62443 — en exigences concrètes, mesurables et adaptées aux organisations belges.
Sa particularité : le référentiel est alimenté par les incidents cyber réellement survenus en Belgique, auxquels le CCB a un accès continu. Les mesures les plus efficaces contre ces incidents y figurent comme « mesures clés ». C'est ce qui rend CyFun particulièrement pertinent pour le paysage de menaces belge.
CyFun est reconnu par le CCB comme l'une des deux voies valides vers la conformité à la directive NIS2, l'autre étant la norme ISO/IEC 27001. Les deux voies bénéficient de la même présomption légale de conformité.
Les 4 niveaux de CyFun expliqués
CyFun repose sur un modèle progressif à quatre niveaux. Chaque niveau contient toutes les mesures du précédent, plus des exigences supplémentaires.
| Niveau | Mesures | Couverture | Pour qui ? |
|---|---|---|---|
| Small | ~10 règles | Estimation | Micro-organisations, peu de connaissances techniques |
| Basic | 34 mesures | ~82 % | PME et besoins de sécurité modérés |
| Important | 117 mesures | ~94 % | Organisations gérant des données sensibles |
| Essential | 140 mesures | jusqu'à 100 % | Grandes entreprises, infrastructures critiques |
Couverture des cyberattaques par niveau CyFun
Part des attaques réelles bloquées, selon le CCB
Le niveau Basic offre le meilleur rapport effort / protection pour une PME : 34 mesures pour 82 % de couverture.
À noter : une nouvelle version, CyFun 2025, a été publiée en octobre 2025. Elle ajoute une sixième fonction, Govern (gouvernance), aux cinq existantes (Identify, Protect, Detect, Respond, Recover). Les versions 2023 et 2025 coexistent jusqu'au 18 avril 2027 ; chaque organisation choisit celle qu'elle applique.
Pourquoi le niveau Basic suffit à la plupart des PME
Pour la majorité des PME belges, le niveau Basic est le bon objectif. Il couvre les fondamentaux qui bloquent l'écrasante majorité des attaques réelles — celles qui touchent effectivement les petites structures — sans imposer la lourdeur documentaire d'un niveau Essential.
Les priorités identifiées par le CCB pour ce socle tiennent en quelques piliers concrets :
Authentification (MFA)
L'authentification multifacteur sur les accès sensibles, première barrière contre le vol d'identifiants.
Sauvegardes
Des sauvegardes fiables, testées et restaurables — indépendantes de la plateforme.
Protection des terminaux
Une solution EDR pour détecter et bloquer les menaces sur les postes.
Accès & mises à jour
Gestion des accès et application régulière des correctifs (patch management).
Segmentation réseau
Cloisonner le réseau pour limiter la propagation d'une attaque.
Sensibilisation phishing
Former les collaborateurs, première ligne de défense face au hameçonnage.
En termes de délai, atteindre le niveau Basic représente généralement un chantier de 2 à 4 mois pour une PME accompagnée — bien plus léger qu'une démarche ISO 27001 complète, tout en étant reconnu par le CCB comme une voie valide vers NIS2.
L'argument commercial : votre label devient un différenciateur
Voici le cœur du sujet, celui que la plupart des articles sur NIS2 oublient de traiter.
La directive NIS2 impose aux grandes organisations de gérer le risque cybersécurité sur l'ensemble de leur chaîne d'approvisionnement. Concrètement, une grande entreprise, un hôpital ou un acteur de l'énergie soumis à NIS2 demande désormais à ses fournisseurs et prestataires de démontrer leur propre niveau de sécurité.
Traduction pour votre PME : même hors du périmètre direct de NIS2, vos clients qui en relèvent vont vous poser la question. Et « on prend la sécurité au sérieux » ne suffit plus comme réponse.
Imaginez la situation : un client potentiel soumis à NIS2 doit choisir entre deux prestataires IT. Les offres sont comparables, les prix proches. L'un affiche une certification CyFun Basic, l'autre non. Le choix est vite fait.
Le label CyFun envoie trois signaux forts à votre marché :
Vous parlez le langage de vos clients réglementés
Face à un questionnaire de sécurité, vous répondez avec une preuve reconnue plutôt qu'avec des promesses. Vous accélérez le cycle de vente et levez un frein à l'achat.
Vous transformez une obligation en avantage
Là où le RGPD était vécu comme une contrainte subie, NIS2 est de plus en plus perçu comme une opportunité de se démarquer. Une entreprise certifiée se positionne sur un niveau de qualité supérieur.
Vous inspirez confiance
Un label vérifié par un tiers démontre un engagement réel. Il facilite même l'accès à l'assurance cyber, les assureurs s'appuyant sur le niveau CyFun pour évaluer le risque.
Attention : un label CyFun ≠ conformité NIS2 automatique
Le malentendu à éviter
Détenir un label CyberFundamentals ne coche pas, à lui seul, toutes les cases de NIS2. Des obligations spécifiques — comme les délais stricts de notification d'incident au CCB (24 heures, 72 heures, puis 30 jours) — doivent être couvertes séparément par vos procédures internes.
Le label est un socle solide et une brique majeure de votre conformité, mais il s'inscrit dans une démarche de gouvernance plus large. C'est là qu'un accompagnement expérimenté fait la différence entre une certification « sur le papier » et une posture de sécurité réellement opérationnelle.
Comment obtenir votre label CyFun Basic
La démarche recommandée par le CCB suit une logique en quatre temps :
Déterminer votre niveau cible
À l'aide de l'outil de sélection gratuit du CCB, basé sur une évaluation des risques par secteur.
Réaliser une auto-évaluation
Mesure par mesure, en documentant les preuves, via l'outil Excel officiel du CCB.
Combler les écarts
L'analyse d'écart (gap analysis), en priorisant les actions selon le risque.
Faire vérifier ou certifier
La certification officielle passe par un organisme d'évaluation de la conformité (CAB) accrédité par BELAC.
Comment GVISION vous accompagne
Chez GVISION, nous accompagnons les PME bruxelloises et belges sur l'ensemble du parcours : de l'analyse d'écart initiale à la mise en conformité opérationnelle, en passant par le déploiement concret des mesures techniques attendues (MFA, sauvegardes, EDR, segmentation, sensibilisation au phishing).
Notre approche est celle d'un partenaire de proximité, pas d'un simple prestataire de dépannage : nous traduisons les exigences du référentiel en actions concrètes, adaptées à votre taille, votre secteur et votre budget. L'objectif n'est pas seulement de décrocher un label, mais de faire de votre sécurité un atout durable — et un argument que vous pourrez mettre en avant face à vos clients.
CyFun Basic est-il pertinent pour votre entreprise ?
Profitez de notre audit de sécurité gratuit : nous faisons le point sur votre situation et vous proposons une feuille de route claire, sans jargon et sans engagement.
Demander mon audit gratuitNous contacterFAQ — CyFun et certification
CyFun est-il obligatoire en Belgique ?
Quelle est la différence entre CyFun et ISO 27001 ?
Combien de temps faut-il pour obtenir le niveau Basic ?
Quel niveau CyFun choisir pour ma PME ?
Un label CyFun me met-il automatiquement en conformité NIS2 ?
Combien coûte une certification CyFun Basic ?
Cet article traite d'un sujet réglementaire dont les échéances et modalités évoluent. Les informations reflètent l'état des référentiels CyFun et de la réglementation NIS2 en 2026. Sources : Centre pour la Cybersécurité Belgique (CCB / Safeonweb), cyfun.eu. Pour toute décision de conformité, validez votre situation spécifique avec le CCB ou avec nos experts.



